In der aktuellen Version haben die VLC-Entwickler mehr als 30 Sicherheitsprobleme mit Hilfe eines europäischen Bug-Bounty-Programms über die Plattform Hackerone gelöst. Die 2012 gestartete Plattform fungiert als Vermittler zwischen Hackern, die Schwachstellen erkennen, und Unternehmen, die Bug Accounts für die Berichterstattung veröffentlichen – darunter viele führende Unternehmen wie Adobe, Google, Microsoft, Twitter, Nintendo und Spotify.
Wenn Sie Videos mit dem VLC-Player abspielen, sollten Sie die neue Version so schnell wie möglich installieren. In der aktuellen Nummer 3.0.7 haben die Entwickler 33 Sicherheitsprobleme nach eigenen Aussagen geschlossen – so viele Schwachstellen wurden noch nie in einem Release behoben.
Nach einem Beitrag eines Entwicklers werden zwei von ihnen als „hoch“ eingestuft. Aber nur eine der Schwachstellen betrifft den Release-Thread 3.0.x. Die andere macht das unveröffentlichte Release 4.0 verwundbar. Wenn Angreifer die Schwachstellen (sogenannte exploits) ausnutzen, sollten Speicherfehler auftreten. Dies ist in der Regel eine Voraussetzung für die Ausführung von bösartigem Code.
21 Löcher werden als „mittel“ eingestuft. Auch hier können Speicherfehler Computer gefährden. Nach Ansicht des Entwicklers, in vielen Fällen sollte das Layout des Adressraums Randomization Protection Mechanism (ASLR) von Betriebssystemen sein, um bösartige Codeangriffe zu verhindern. Der Spieler kann jedoch abstürzen (DoS-Angriff).
Bug-Bounty-Programm
Sicherheitsforscher haben alle Lücken in einem Bug-Bounty-Programm entdeckt, das von der Free Open Source Software Analysis (FOSSA) mitinitiiert wurde. Dies ist ein EU-Projekt.
Das Europäische Parlament will über solche Programme die Sicherheit seiner IT-Infrastrukturen verbessern, deshalb haben sie haben einen Haushalt für die FOSSA genehmigt. Im Europäischen Parlament werden verschiedene Open-Source-Softwareprogramme eingesetzt.
